Sony Interactive Entertainment (SIE) ha confermato che circa 6800 attuali ed ex dipendenti sono stati oggetto di violazione di dati personali (data breach), con dati che sono stati esposti probabilmente per una vulnerabilità legata a un software usato internamente.
La conferma è in una lettera che ha avuto modo di leggere il sito Bleeping Computer. Ogni persona coinvolta, ha ricevuto il documento confermando l’accesso o l’acquisizione dei dati da terze parti non autorizzate, specificando le informazioni a loro legate che sono state sottratte.
All’origine del problema una vulnerabilità riscontrata su MOVEit, app per il trasferimento di file. Un gruppo di cybercriminali denominato “CL0P” e specializzato in ransomware, afferma che l’attacco è stato portato a termine il 28 maggio.
Progress Software, il vendor di MOVEit, ha informato Sony della vulnerabilità il 31 maggio con un messaggio: “Il 2 giugno 2023 abbiamo individuato download non autorizzati, immediatamente impostato la piattaforma offline e corretto la vulnerabilità”.
Nella lettera ai dipendenti, Sony riferisce di una indagine partita subito dopo la segnalazione con l’assistenza di esperti in cybersicurezza, e quanto accaduto è stato inoltre segnalato alle forze dell’ordine. I cybercriminali avrebbero avuto accesso a informazioni che riguardano le identità dei dipendenti statunitensi di Sony, e alle persone colpite quest’ultima sta offrendo funzionalità di monitoraggio del credito.
Non solo i dati dei dipendenti, gli altri problemi di sicurezza di Sony
Non è la prima volta che Sony è vittima di attacchi da parte di cybercriminali; è successo, ad esempio, nel 2014 ma anche la scorsa settimana, con criminali che sono riusciti ad accedere a server in Giappone usati per attività di testing interne delle divisioni Entertainment, Technology e Services, rubando 3,1GB di dati.
In questo caso il gruppo criminale che prima ha comunicato di avere portato a termine l’attacco si fa chiamare Ransomed.vc; una smentita è arrivata da un diverso gruppo di criminali, “MajorNelson”, affermando che quanto accaduto era opera loro.
Nel 2011 si verificò una interruzione dei servizi PlayStation Network, evento noto come “PSN Hack”, risultato di un'”intrusione esterna” sui servizi PlayStation Network e Qriocity di Sony, in cui i dati personali di circa 77 milioni di utenti sono stati compromessi ed in cui è stato impedito l’accesso al servizio per gli utenti delle console PlayStation 3 e PlayStation Portable.
In caso di violazione dei dati personali, in Italia il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi. Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo. Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati.
Per tutte le notizie che trattano di sicurezza informatica rimandiamo i lettori alla sezione dedicata di macitynet.
